Skoči na vsebino

SI-CERT 2010-05 / Podtikanje binarnih datotek na Windows sistemu

Opis

Veliko število Windows aplikacij vsebuje ranljivost, ki napadalcu omogoča podtikanje izvršljivih datotek ali DLL knjižnic. Napadalec lahko to izkoristi s tem, da žrtvi ponudi datoteko za prenos. Če to datoteko odpre program, ki ranljivost vsebuje, lahko napadalec podtakne knjižnico DLL (ali celo svoj EXE ali COM program) in dobi dostop do sistema v okviru pravic uporabnika, ki je program zagnal. 

DLL (Dynamic Link Library) so programske knjižnice, ki vsebujejo programske funkcije, ki jih uporablja več aplikacij. Za opravljanje posameznih opravil aplikacija naloži DLL knjižnico in nato uporablja funkcije v njej. Preko DLL knjižnic programi odpirajo, kopirajo in brišejo datoteke, odpirajo komunikacijska vrata, upravljajo z zaslonskimi okni itn.

Zgodaj spomladi je mariborsko podjetje ACROS Security odkrilo ranljivost v več Windows aplikacijah (preko 500).

Metode širjenja

Binarno datoteko lahko napadalec podtakne preko USB ključa, SMB mape v skupni rabi ali WebDAV mape.

Ranljive verzije

Večje število aplikacij za Windows operacijske sisteme.

Rešitev

Microsoft je izdal začasni popravek 2264107, preko katerega skrbnik lahko omeji nabor direktorijev, na katerih aplikacija išče DLL knjižnice. Dodatno lahko omejite dostop do zunanjih SMB naprav in izklopite WebClient storitev. Natačna navodila so navedena v Microsoftovem varnostnem obvestilu 2269637: “Insecure Library Loading Could Allow Remote Code Execution”.

Razvijalcem svetujemo, da sledijo navodilom za varno nalaganje DLL knjižnic.

Povezave

Preberite tudi

SI-CERT 2025-05 / Kritična ranljivost Roundcube Webmail

Roundcube Webmail vsebuje kritično ranljivost, ki omogoča izvajanje poljuben kode. Ranljivost se že lahko izkorišča v napadih, zato svetujemo takojšnje ukrepanje.
Več

SI-CERT 2025-04 / Težave spletnih strežnikov zaradi obsežnega strganja vsebin za potrebe treniranje LLM modelov

AI boti, ki strgajo vsebine iz spletnih mest za potrebe treniranja LLM modelov, lahko povzročijo podobne težave kot DDoS napad.
Več

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.
Več